Allgemeine Betrachtungen
Kundeneigene Berechtigungen
Da der Pflegeaufwand zu groß wäre, wenn einzelne Berechtigungen in den Benutzerstammsatz eingetragen würden, können Berechtigungen zu Berechtigungsprofilen zusammengefaßt werden. Änderungen an Zugriffsrechten werden für alle Benutzer wirksam, die das Profil im Stammsatz eingetragen haben.
Prüfen Sie, ob es für Ihr Release zu beachtende Korrekturempfehlungen gibt. Wir empfehlen Ihnen, vor der Ausführung der Transaktion SU25 den Korrekturreport SU24_AUTO_REPAIR auszuführen (siehe Tipp 38, »Die Transaktionen SU22 und SU24 richtig verwenden«). Führen Sie diesen Report gegebenenfalls schon im Altrelease aus, aber auf jeden Fall vor dem Import der neuen Vorschlagswerte. Nutzen Sie den Testmodus des Reports, um sich mögliche Korrekturen im Vorfeld anzuschauen. Um sicherzustellen, dass Sie mit Ihren Upgradearbeiten keine Informationen verlieren, können Sie außerdem die Daten der Transaktion SU24 über Schritt 3 (Transport der Kundentabellen) in die Transaktion SU25 in einen Transportauftrag schreiben und freigeben. Über diesen Weg wird ein Backup Ihrer SU24-Daten vorgenommen. Nun kann es mit den Upgradenacharbeiten losgehen. Achtung: Führen Sie dabei nicht Schritt 1 (Kundentabellen wurden initial befüllt) aus, denn damit werden die Kundentabellen USOBT_C und USOBX_C, d. h. die SU24-Daten, komplett mit den SAP-Vorschlagswerten überschrieben. Sie wollen Ihre SU24-Daten jedoch behalten und mit den Vorschlagswertänderungen für das neue Release ergänzen!
Exkurs Besondernheit bei Berechtigungen für FIORI Apps unter S/4HANA
Sie können nicht auf alles selbst ein Auge haben. Verhindern Sie daher, dass Ihre Kollegen Benutzern keine Benutzergruppe zuordnen, und sichern Sie so die korrekte Berechtigungsprüfung bei der Benutzerstammdatenpflege. Sie möchten nicht, dass ein Benutzer ohne Benutzergruppe in Ihren SAP-Systemen angelegt werden kann? Benutzer ohne Benutzergruppe können von allen Administratoren mit einer Berechtigung für beliebige Benutzergruppen geändert werden. Außerdem sollten Sie unvollständige Berechtigungsprüfungen bei der Zuordnung von Rollen und Profilen an Benutzer ohne Berechtigungsgruppe unterbinden. Denn es ist möglich, einem Benutzer zuerst Rollen und Berechtigungen zuzuweisen und erst später eine Benutzergruppe zuzuordnen, für die keine Berechtigung zur Zuordnung von Rollen und Profilen vorliegt. Sie möchten schließlich für einen bestehenden Benutzer die Benutzergruppe ändern, ohne eine Berechtigung für die neue Benutzergruppe zu haben? Wir zeigen Ihnen im folgenden Abschnitt, wie Sie die Absicherung Ihrer Benutzerstammdatenpflege vornehmen können.
Ihnen wird außerdem auffallen, dass vielen Tabellen die Tabellenberechtigungsgruppe &NC& zugewiesen ist, und daher eine Differenzierung über Tabellenberechtigungsgruppen über das Berechtigungsobjekt S_TABU_DIS gar nicht funktionieren würde. Ferner können Sie keine Berechtigungen auf nur einzelne Tabellen einer Tabellenberechtigungsgruppe mittels S_TABU_DIS vergeben. In solchen Fällen wird die Prüfung fortgesetzt: Schlägt die Berechtigungsprüfung auf das Berechtigungsobjekt S_TABU_DIS fehl, wird als Nächstes das Berechtigungsobjekt S_TABU_NAM geprüft. Hiermit können Sie den Zugriff auf Tabellen explizit über den Tabellennamen gewähren.
Die Möglichkeit der Zuweisung von Berechtigungen im Go-Live kann durch den Einsatz von "Shortcut for SAP systems" zusätzlich abgesichert werden.
Über den Button Protokollflag können Sie den Haken für die Tabellenprotokollierung für alle zuvor markierten Tabellen setzen.
Dies sind die Felder OBJECT1 bis OBJECT7 für die erste bis siebte Registerkarte.